LastPass on väljastanud pika avalduse mõni kuu tagasi kogetud rikkumise kohta. Lihtsamalt öeldes pole asjad hästi.
Mõni nädal tagasi avaldas LastPass oma ajaveebis avalduse, milles jagas seda kogenud rikkumist. Tol ajal LastPassi tegevjuht Karim Toubba kõigisse üksikasjadesse ei süvenenud, vaid jagas, et LastPassi kasutatava kolmanda osapoole pilvesalvestusteenusega toimus turvaintsident. Nüüd annab ettevõte juhtunu kohta üksikasjaliku ülevaate ja see pole hea.
Toubba astus taas ettevõtte ajaveebi, et jagada, mida ta juhtunuga seoses leidis. Postituse kohaselt ei mõjutanud see rünnak klientide andmeid, kuid varastati "lähtekood ja tehniline teave". Kahjuks võttis ründaja selle teabe abil sihikule töötaja, hankis mandaadid ja võtmed, mida kasutati pilvepõhise salvestusteenuse dekrüpteerimiseks ja teabele juurdepääsuks.
Siit pääses ründaja juurde kontoteabele, nagu "lõppkasutajate nimed, arveldusaadressid, e-posti aadressid, telefoninumbrid ja IP-aadressid, kust kliendid pääsesid juurde LastPassi teenusele." Lisaks saadi kliendihoidla andmed, mis sisaldasid krüpteeritud "veebisaitide kasutajanimesid ja paroole, turvalisi märkmeid ja vormiga täidetud andmed."
Nii et võite endalt küsida, mida see kõik täpselt tähendab?
Noh, on nii häid kui ka halbu uudiseid. Mis puudutab häid uudiseid, siis kogutud andmed krüpteeriti ja dekrüpteerimiseks on vaja kasutaja peaparooli. Halb uudis on see, et kui ründajal on aega, saab ta andmete dekrüpteerimiseks läbi käia ja proovida nii palju paroole kui vaja. LastPass tunnistab, et see on võimalik, kuid väidab, et see oleks "äärmiselt keeruline", kui parool ise on keeruline üks.
LastPass hoiatab ka, et andmepüügirünnakud võivad muutuda tavalisemaks, et püüda kliente valvsalt tabada ja peaparoolid välja võtta. Mis praegu teha saab, siis tegelikult on vaja ainult käpuli hoida ja mitte langeda andmepüügikatsete ohvriks. Kui see tundub ebatavaline või kahtlane, uurige seda. LastPass on juba mõnda aega nõudnud vähemalt 12 tähemärgist parooli. Kuid selliseid rikkumisi võib juhtuda ja kui need juhtuvad, paneb see tõesti asjad perspektiivi.
Ettevõte proovib siiski anda kindlustunde, öeldes, et keerulise parooli äraarvamiseks kuluks miljoneid aastaid. Muidugi ei tohiks see teie meelt rahustada, kuna keegi on teie krüptitud andmetega. LastPass on teinud oma infrastruktuuris muudatusi, et edaspidi rikkumisi ära hoida ning on võtnud juhiste andmiseks ühendust kõrge riskiga äriklientidega.
Allikas: LastPass